Réponse à incidents, forensics et analyse de malwares version #FrenchTouch

Pour changer, je vais vous parler d'initiatives qui font avancer la cybersécurité. On prend malheureusement trop facilement l’habitude (moi le premier) de ne parler que des choses qui ne fonctionnent pas en matière de sécurité informatique (les failles, les échecs...). Pour une fois, essayons d’avoir un discours positif et de valoriser des travaux intéressants.

Je ne vais pas vous parler de la solution "miracle" car elle n'existe pas et n’existera jamais. La sécurité n’est pas une (simple) question de technologie. Non, aujourd’hui, je veux vous parler d'initiatives, modestes (pour le moment) mais ambitieuses, qui peuvent (vraiment) vous aider la lutte contre la cybercriminalité. Il s'agit de projets français (cocorico), open source et mis à la disposition gratuitement sur Internet. La communauté sécurité et toutes les bonnes volontés sont invitées à y contribuer pour les améliorer et les faire grandir.

Simple hasard de calendrier (ou pas), 3 nouveaux outils ont été publiés au cours du mois de juin. Tous tournent autour du #DFIR (Digital Forensics and Incident Response) qui comprend :

  • l'investigation numérique (forensics ou inforensique),
  • la réponse à incidents,
  • l'analyse de malwares.

24667_made-in-france

Ces sujets sont en plein « boom » depuis plusieurs années. Les entreprises commencent (enfin) à détecter des incidents de sécurité mais elles ne savent pas souvent comment y répondre. Elles ont besoin de process, de procédures mais également d’outils. Il en existe déjà un certain nombre (souvent américains) mais qui ne sont pas forcément accessibles (financièrement) ni adaptés à toutes les entreprises.

Intéressons nous à ces « fameux » projets de notre cyber #FrenchTouch .

IRMA par QuarksLab

IRMA (Incident Response & Malware Analysis) est une plateforme open-source dédiée à l’identification et à l’analyse de fichiers malveillants. Développé par des personnes de chez QuarksLab et d’Orange et également soutenu par Airbus, le CEA, la DCNS, le Govcert.lu, cet outil permet de se construire une plateforme « locale » pour tester des fichiers potentiellement malveillants sur différents moteurs d’antivirus, tout en gardant le contrôle sur les données analysées. Ce qui n’est pas le cas quand on utilise, par exemple, le célèbre service en ligne VirusTotal (qui appartient à Google).

webui3

Vous trouverez plus d'infos (visuels, architecture, guide d’installation…) sur le site http://irma.quarkslab.com/

Le code-source est disponible à l'adresse https://github.com/quarkslab

Kraken par le CERT Société Générale

Développé par les équipes du CERT Société Générale, Kraken est un outil qui va permettre collecter des IOC (Indicators of Compromise) sur des machines. Ces IOC sont des « artefacts », des traces techniques qui vont permettre à l’équipe de réponse à incident de déterminer ou de confirmer une éventuelle compromission d'un poste de travail ou d'un serveur.

kraken-panel

Kraken se présente sous la forme d’un « agent » (léger)  à installer sur chaque système à surveiller / investiguer et un serveur C2 (Command & Control) utilisé pour envoyer des commandes (rechercher des clés de registre, « dumper » la mémoire d’un système…) aux « agents » et sur lequel seront rapatriées et centralisées les « preuves » des compromission.

L’outil va pouvoir permettre de rechercher :

  • des hash MD5,
  • des hash SHA-256,
  • des expressions régulières dans des dossiers ou noms de fichier.

Les auteurs de Kraken ont déjà imaginé une (longue) roadmap pour leur outil et n’attendent que vos contributions pour avancer rapidement.

Code source disponible à l'adresse https://github.com/certsocietegenerale/kraken

FastResponder par le CERT Sekoia

Développé par les équipes du CERT Sekoia, FastResponder est un outil de « live forensics » qui va permettre de mener « rapidement » des investigations numériques en collectant des « artefacts » sur des systèmes Windows « à chaud ».

La page github du projet liste les différentes traces techniques pouvant être récupérées par FastResponder.

Code source disponible à l'adresse https://github.com/SekoiaLab/FastResponder

Et tous les autres !

Ce ne sont pas les seuls projets français open-source qui existent sur ces sujets. Voici une liste non exhaustive d'outils complémentaires, très utiles pour répondre à des incidents, analyser des malware ou réaliser des investigations numériques :

N'hésitez pas à me faire part de vos découvertes ou à promouvoir vos propre projets !

3 thoughts to “Réponse à incidents, forensics et analyse de malwares version #FrenchTouch”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.